自腾讯与京东建立了战略合作关系之后,笔者网上购物就首选京东了。某天在家里访问京东首页的时候突然吃惊地发现浏览器突然跳到了第三方网站再回到京东,心里第一个反应就是中木马了。
竟然有这样的事,一定要把木马大卸八块。
原因排查
首先在重现的情况下抓包,京东官网确实返回了一段JavaScript让浏览器跳转到了yiqifa.com。
下图是应用层的抓包。
服务器返回的代码导致跳转,基本可以排除本地木马,推测是网络或者服务器的问题。根据笔者的经验,这种情况很大可能是链路上的流量劫持攻击。当然也不能排除京东服务器被黑的情况。
继续排查。应用层已经不行了,我们要用Wireshark抓网络层的包。
从Wireshark结果可以看到,网络上出现了两个京东的HTTP响应。第一个先到,所以浏览器执行里面的JavaScript代码转到了yiqifa.com;第二个HTTP响应由于晚到,被系统忽略(Wireshark识别为out-of-order)。
两个京东的HTTP响应包,必然一真一假。快揭示真相了。
再来看看两个HTTP响应的IP头。
第一个包TTL值是252,第二个包TTL值是56,而之前TCP三次握手时京东服务器的TTL值是56,故可以判断先到的包是伪造的,真的包晚到而被系统忽略。